日本簽署SBOM國際共通指引,強化軟體弱點管理,全面提升國家網路安全
由美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, 簡稱CISA)自2024年以來,持續主導並規劃《SBOM網路安全之共同願景》(A Shared Vision of Software Bill of Materials(SBOM) for Cybersecurity)之指引訂定,作為保障網路安全之國際共通指引。於2025年9月3日,由日本內閣官房網路安全統括室為首,偕同經濟產業省共同代表日本簽署了該份指引,包含日本在內,尚有美國、德國、法國、義大利、荷蘭、加拿大、澳洲、紐西蘭、印度、新加坡、韓國、波蘭、捷克、斯洛伐克等共計15個國家的網路安全部門,皆同步完成簽署。以下為指引之重點內容:
1. 軟體物料清單的定位(Software Bill of Materials, 簡稱SBOM)
SBOM於軟體建構上,包含元件內容資訊與供應鏈關係等相關資訊的正式紀錄。
2. 導入SBOM的優點
(1) 提升管理軟體弱點之效率。
(2) 協助供應鏈風險管理(提供選用安全的軟體,提升供應商與使用者之間溝通效率)。
(3) 協助改善軟體開發之進程。
(4) 提升管理授權軟體之效率。
3. SBOM對於利害關係人之影響
(1) 使軟體開發人員可選擇最符合需求的軟體元件,並針對弱點做出適當處置。
(2) 軟體資訊的透明化,可供採購人員依風險評估決定是否採購。
(3) 若發現軟體有新的弱點,使軟體營運商更易於特定軟體與掌握弱點、漏洞。
(4) 使政府部門於採購流程中,發現與因應影響國家安全的潛在風險。
4. SBOM適用原則與相關告知義務
確保軟體開發商、製造商供應鏈的資訊透明,適用符合安全性設計(Security by Design)之資安要求,以及須承擔SBOM相關告知義務。
近年來軟體物料清單(SBOM),已逐漸成為軟體開發人員與使用者,於管理軟體弱點上的最佳解決方案。然而,針對SBOM的作法與要求程度,各先進國家大不相同,因此透過國際共通指引的簽署,各國對於SBOM的要求與效益終於有了新的共識。指引內容不僅建議軟體開發商、製造商宜於設計階段採用安全設計,以確保所有類型的資通訊產品(特別是軟體)之使用安全,也鼓勵製造商為每項軟體產品建立SBOM並進行管理,包含軟體版本控制與資料更新,指引更強調SBOM必須整合組織現有的開發與管理工具(例如漏洞管理工具、資產管理工具等)以發揮價值。此份指引可作為我國未來之參考借鏡,訂定相關的軟體物料清單之適用標準,提升政府部門以及產業供應鏈之網路安全。
- 〈サイバーセキュリティのためのソフトウェア部品表(SBOM)の共有ビジョンに関する国際ガイダンスに共同署名しました〉,経済産業省
- A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity, America’s Cyber Defense Agency
- MINISTRY OF ECONOMY, TRADE AND INDUSTRY [METI], A Shared Vision of Software Bill of Materials(SBOM) for Cybersecurity (Sept. 3, 2025)
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳政陽
法律研究員 編譯整理
〈サイバーセキュリティのためのソフトウェア部品表(SBOM)の共有ビジョンに関する国際ガイダンスに共同署名しました〉,経済産業省,https://www.meti.go.jp/press/2025/09/20250904001/20250904001.html(最後瀏覽日:2025/10/13)。
A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity, America’s Cyber Defense Agency, https://www.cisa.gov/resources-tools/resources/shared-vision-software-bill-materials-sbom-cybersecurity (last visited Oct. 13, 2025).
MINISTRY OF ECONOMY, TRADE AND INDUSTRY [METI], A Shared Vision of Software Bill of Materials(SBOM) for Cybersecurity (Sept. 3, 2025), https://www.meti.go.jp/press/2025/09/20250904001/20250904001-1r.pdf (last visited Oct. 13, 2025).
鄭岱宜,〈日本發布《IoT產品資安符合性評鑑制度建構方針》順應國際IoT產品資安政策趨勢〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9267&no=64(最後瀏覽日:2025/10/13)。
美國專利商標局(United States Patent and Trademark Office, USPTO)最近宣布將運用同儕檢視的概念,啟動名為”Peer Review Pilot”的軟體專利檢視先導計畫(以下簡稱PRP),該計畫並將與紐約大學進行中的專利共同檢視計畫(Community Patent Review Project (CPRP))合作,以確保軟體專利的品質。 CPRP乃是由紐約大學法學院設置及管理的網站,該網站允許技術專家進一步予以檢視並提供相關資訊的機會,希望專利申請案在經過同儕檢視後,才進一步送交官方審查,藉此縮減審查程序的時間;而UPSTO的PRP也有類似的運作概念,PRP計畫在USPTO開始進行官方的專利審查工作之前,提供ICT領域的技術專家一個針對專利申請書專的權利主張,提出技術之參考註解(annotated technical references)的機會。 USPTO指出,專利審查官員唯有在資訊充分的前提下,才能做出正確的決定,考量專利審查官員必須在有限的時間內找出正確的訊息以對個別案件做出決定,而軟體相關技術的來源碼又不容易取得,也沒有完整的紀錄可供查詢,因此USPTO大膽採用同儕檢視的方法,期能藉此改善軟體專利的審查時間與品質。
美國專利商標局發布「發明AI」分析報告,由美國專利申請趨勢分析AI技術普及情形美國專利商標局(USPTO)於2020年10月27日發布「發明AI:由美國專利觀察AI普及情形」(Inventing AI: Tracing the diffusion of artificial intelligence with U.S. patents)智財資料分析報告,本報告分析2002年至2018年共16年間美國AI專利之申請資料,發現在AI專利申請數量由3萬件成長至6萬件,成長幅度為100%,而在全體專利當中AI相關專利所占比率,也由原本的9%成長至接近16%,顯示在AI技術研發創新與普及率的顯著成長。 報告指出,自1950年圖靈(Alan Turing)提出「機器能否思考?」問題以來,現今AI技術的發展已經達到連圖靈也會讚嘆的水準,AI技術在發明領域的重要性益發提升,活躍於AI領域的發明人占全體專利權人的比率也從1976年的1%提升到2018年的25%,在組織的發明專利上也呈現相同的趨勢;除了美國銀行(Bank of America)、波音公司(Boeing)以及奇異電子(General Electric)之外,前30大頂尖的AI公司都來自資通訊領域,其中佔據首位者為擁有46,752項專利的IBM,其次為擁有22,076項專利的微軟以及10,928項專利的Google,而AI技術的應用領域也更加多元,並且與在地產業做結合,例如應用在奧勒岡州的健身訓練與設備以及北達科他州的農業上。 USPTO指出,經由專利資料分析顯示AI技術的發展不僅有顯著的成長,並逐漸與在地產業結合、落實在不同產業領域的多元應用,AI對於產業的影響力將不亞於電力或半導體,隨著AI領域發明人的顯著成長,未來將有更多AI技術在各領域的應用出現,而擴大AI影響力的關鍵在於發明者與公司能否成功將AI納入現有或新產品的功能、流程或服務之中。
2005 台日科技高峰論壇 揭示綠色環保的新契機「 2005 台日科技高峰論壇」於本﹙九﹚月 16 、 17 日在台北圓山飯店盛大展開,與會者包括台日高階產官學研代表,分就環境政策、環保科技及綠色產品等議題進行交流,研擬未來可能進行的合作模式。 於第一天開幕式中,亞東關係協會科技交流委員會主任委員蕭萬長即表示,藉由科技論壇可以增加政策和策略的相互了解,並減少重複浪費的研發 ; 藉由知識相互激盪可以維持競爭力和高度經濟成長,創造雙贏的局面。日本交流協會台北事務所的池田維代表則指出,先前日本於八大工業高峰會議中所倡議的 3R(REDUCE 、 REUSE 、 RECYCLE) 觀念,獲得各國極力贊成,他希望將日本特性表現在本次研討內容中,以加強彼此合作。 台日科技高峰論壇從 2003 年 4 月成立後,今年乃第三度在台灣舉行,與會貴賓包括日本眾議員水野賢一﹙ Mizuno, Kenichi ﹚ , 以「日本環境政策」發表專題演說;地球環境戰略研究機關理事長森 ( 山鳥 ) 昭夫﹙ Morishima, Akio ﹚則以「建構環保型產業」為題,自法律觀點說明,日本政府如何透過修訂法規之方式,逐步落實 3R 理念及其他永續發展措施;除此之外,日本 JST 、東京大學、北九州市立大學、日立製作所、東元電機、豐田汽車、福特六和汽車等台日環保科技代表亦分就「綠色產品」、「環保科技」等面向擬定專題發表談話。預料本次研討內容,對於未來台日科交流將能形成實質的幫助 , 並為未來科技發展指出綠色環保的新契機。
美國聯邦巡迴上訴法院判決美國專利法第271條(f)項不適用於方法專利繼美國最高法院於Microsoft Corp. v. AT&T Corp. 做出與專利法治外法權有關的判決後,美國聯邦巡迴上訴法院於2009年8月19日再次做出限縮解釋專利法第271條(f)項於美國境外的效力。 美國專利法第271條(f)項規定未經許可提供或使人提供專利產品之元件,將之由美國供應(“supply”)至美國境外完成組合,亦視為侵害該專利產品之專利權。此項規定為美國國會為防範企業藉由在美國境內製造非專利保護之零組件後再運送之海外進行組合以規避專利侵權責任而制定。之後,在實物案例中,關於第271條(f)項之解釋與適用範圍產生諸多爭議。美國最高法院於其在2007年Microsoft Corp. v. AT&T Corp. 中強調不應擴張解釋第271條(f)項之文字。 於Cardiac Pacemakers Inv. V. St. Jude Medical Inc. 一案中,原告Cardiac Pacemakers控告被告St. Jude Medical所販賣的植入式心臟整流去顫器 (implantable cardioverter defibrillator)之使用會侵犯原告所擁有的一個利用植入式心臟刺激器治療心律不整的方法專利 (a method of heart stimulation using an implantable heart stimulator)。本案的爭點在於被告銷售可實施原告美國專利方法的產品或裝置讓該專利方法於美國境外被實施的行為是否構成第271條(f)項之侵害。美國聯邦巡迴上訴法院推翻其於2005年之判決(Union Carbide Chemicals Plastics Technology Corp. V. Shell Oil Co.),判定專利法第271條(f)項不適用於方法專利。亦即,被告銷售可實施原告美國專利方法的產品至海外的行為不構成第271條(f)項所規定之侵權行為。 此判決對原告Cardiac Pacemakers之衝擊可能較小,因其專利範圍除方法請求項外,亦包含物品請求項,原告還可藉由其物品請求項獲得侵權損害賠償。但此案可能對僅能以方法申請專利的產業如生技藥業(某些診斷及檢驗僅能以方法申請專利)及軟體業造成較大的影響。